法規(guī)遵從與風(fēng)險(xiǎn)管理_第1頁
法規(guī)遵從與風(fēng)險(xiǎn)管理_第2頁
法規(guī)遵從與風(fēng)險(xiǎn)管理_第3頁
法規(guī)遵從與風(fēng)險(xiǎn)管理_第4頁
法規(guī)遵從與風(fēng)險(xiǎn)管理_第5頁
已閱讀5頁,還剩12頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

?2007McAfee,Inc.法規(guī)遵從與安全風(fēng)險(xiǎn)管理王昊華南區(qū)銷售工程師CISSP/CISA/CCNPCIO確保風(fēng)險(xiǎn)處于可接受的范圍將業(yè)務(wù)中斷降至最小保護(hù)數(shù)據(jù)資源降低安全和法規(guī)遵從的成本審核降低審核成本自動(dòng)訪問安全數(shù)據(jù)自動(dòng)的風(fēng)險(xiǎn)和法規(guī)報(bào)告功能提高可視性和精確性IT操作人員將網(wǎng)絡(luò)和系統(tǒng)中斷的時(shí)間降至最短確定計(jì)劃和修復(fù)漏洞的優(yōu)先級(jí)提高資源效率改善工作流程確保遵從內(nèi)外部策略

前瞻性地預(yù)防身份信息被盜確定風(fēng)險(xiǎn)和應(yīng)對(duì)措施的優(yōu)先級(jí)提供指標(biāo)CSO業(yè)務(wù)面臨的挑戰(zhàn)來自于安全威脅方面的風(fēng)險(xiǎn)?由于未遵從法規(guī)所產(chǎn)生的風(fēng)險(xiǎn)?我的企業(yè)面臨什么樣的風(fēng)險(xiǎn)?2022/12/282法規(guī)遵從丑聞?dòng)?cái)政部11月20號(hào)證實(shí),英國皇家稅務(wù)及海關(guān)總署丟失兩張重要數(shù)據(jù)光盤,其中包括2500萬人的敏感個(gè)人信息,署長保羅?格雷已經(jīng)宣布引咎辭職,并表示這是“稅務(wù)部門重大的操作失誤”;2005年美國萬事達(dá)卡國際組織承認(rèn)包括萬事達(dá)、維薩、運(yùn)通等在內(nèi)高達(dá)4000多萬信用卡用戶的銀行資料存在泄密風(fēng)險(xiǎn);2006年之前中國人民建設(shè)銀行網(wǎng)站公積金信息泄露,任何人只需要通過輸入身份證號(hào)碼即可以查出賬戶余額和每月扣款額度;中國信息保密法規(guī)處于“一張白紙”狀態(tài)。2022/12/283法規(guī)遵從現(xiàn)狀A(yù)recentCSOMagazinesurveyrevealedthatregulationsandcompliancewerethetopdriversforsecurityinvestments.Securityriskassessmentwasthetopsecurityinitiative,whilethreatandriskmanagementwerethetopconcernskeepingCSOsupatnight.“SecuritySensorX”Feb.2006多數(shù)企業(yè)的法規(guī)遵從措施是分散的(de-centralized),被動(dòng)的(reactive),隨機(jī)的(ad-hoc);企業(yè)受約束的法規(guī)太多,成本很高,效率很低;實(shí)現(xiàn)法規(guī)遵從過多的依賴技術(shù)手段,忽略了管理手段。2022/12/284法規(guī)遵從是一個(gè)全球性的挑戰(zhàn)……

每個(gè)人都必須有所付出……J-SOXSarbanes-

OxleyBaselIIPIPEDAEUDPDGLBAHIPAAPCIMITSFISMADPADPADTO-93CPC

Art.43FFIECCPASolvencyIIDPASA-PLR-DPL?1.54M€22-30M$3MSW¥349M

$30M$10+M

ISO/IEC27001:2005運(yùn)營管理安全2022/12/285法規(guī)遵從是一個(gè)全球性的挑戰(zhàn)……

每個(gè)人都必須有所付出……(續(xù))企業(yè)面臨的法規(guī)太多法律的兩個(gè)屬性(屬人性/屬地性)每個(gè)法規(guī)的流程完全不同(Dis-jointedResponse)法規(guī)遵從的延續(xù)性GLBA,HIPPA,SOX,COBIT,ISO17799/27001管理層對(duì)實(shí)現(xiàn)法規(guī)遵從的要求行業(yè)最佳實(shí)踐(Best-practice)成本收益分析(Cost-benefitanalysis)2022/12/286IT治理(法規(guī)遵從的起點(diǎn))IT治理的5大目標(biāo)(Controlobjective)戰(zhàn)略一致性(StrategicAlignment)價(jià)值交付(ValueDelivery)資源管理(ResourceManagement)風(fēng)險(xiǎn)管理(RiskManagement)績效管理(PerformanceManagement)4類IT資源人(People),信息(Information),應(yīng)用(Application),設(shè)施(Infrastructure)CIAA(Confidentiality/Integrity/Availability/Accountability)3種控制手段(Physical/Technical/Operational)2022/12/287COBIT——IT管理規(guī)范Cobit信息準(zhǔn)則Effectiveness/efficiency/confidentiality/integrity/availability/compliance/reliability4大類流程PlanandOrganize/AcquireandImplement/DeliverandSupport/MonitorandEvaluate(34個(gè)子流程)4類控制目標(biāo)ActivityGoal/ProcessGoal/ITGoal/BusinessGoal2類考核指標(biāo)KGI(關(guān)鍵目標(biāo)指示),KPI(關(guān)鍵績效指示)管理評(píng)價(jià)體系(CMM模型)Initial/Repeatable/Defined/Managed/Optimized2022/12/288SOX——公司治理規(guī)范SOX:美國證監(jiān)會(huì)對(duì)于上市公司的公司治理規(guī)范要求Section306除了極特殊的情況外,對(duì)于發(fā)行權(quán)益性證券公司的所有董事、經(jīng)理因任職而獲得的其所任職公司的權(quán)益證券,在該權(quán)益證券的管制期間,這些董事、經(jīng)理直接或間接買賣或獲取、轉(zhuǎn)讓這些權(quán)益證券的行為是非法的。Section404內(nèi)部控制報(bào)告必須要指明公司管理層建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任和包括發(fā)行人管理層最近財(cái)政年度末對(duì)內(nèi)部控制體系及控制程序有效性的評(píng)價(jià)。擔(dān)任公司年報(bào)審計(jì)的會(huì)計(jì)公司應(yīng)當(dāng)對(duì)其進(jìn)行測試和評(píng)價(jià),并出具評(píng)價(jià)報(bào)告(第404款)。

第404條款是SOX法案中最為嚴(yán)厲和最具高昂執(zhí)行成本的條款。2022/12/289ISO27001——ISO安全標(biāo)準(zhǔn)A7:AssetManagement(資產(chǎn)管理)A10:CommunicationandOperationManagement(通信與操作管理)A11:AccessControl(訪問控制)A13:InformationSecurityIncidentManagement(信息安全突發(fā)事件管理)A15:Compliance(遵從性)2022/12/2810安全風(fēng)險(xiǎn)險(xiǎn)的三個(gè)個(gè)維度安全風(fēng)險(xiǎn)

=資產(chǎn)

(重要性)

弱點(diǎn)

(嚴(yán)重性)

威脅

(嚴(yán)重性)xxCM1

CM2

CM3

認(rèn)證

Authentication

備份Back-up

負(fù)載均衡LoadBalance

監(jiān)控

Monitoring

加密Encryption

弱點(diǎn)管理VulnerabilityManagement

修補(bǔ)管理PatchManagement防火墻

Firewall防毒Anti-Virus入侵探測/防護(hù)

IDS/IPS防護(hù)對(duì)策:

軟件漏洞SoftwareBug

不必要的網(wǎng)絡(luò)風(fēng)險(xiǎn)UnnecessaryServices

不恰當(dāng)?shù)拿艽a設(shè)定WeakPasswords

錯(cuò)誤的配置Mis-configurations

木馬/后門

Trojan/backdoor病毒VirusSpreading

蠕蟲

WormOutbreak

黑客程序

ExploitCodes

黑客工具HackerTools

黑客攻擊HackerAttacks

服務(wù)器Workstation/Server

無線設(shè)備WirelessLANs/Devices

網(wǎng)絡(luò)設(shè)備NetworkDevices數(shù)據(jù)庫Database

應(yīng)用程序Applications2022/12/2511安全風(fēng)風(fēng)險(xiǎn)成成本收收益分分析資產(chǎn)價(jià)價(jià)值((AssetValue)暴露因因子((ExposureFactor,某種種風(fēng)險(xiǎn)險(xiǎn)造成成資產(chǎn)產(chǎn)損失失的百百分比比,實(shí)實(shí)施安安全方方案之之前EF1與實(shí)施施安全全方案案之后后EF2會(huì)顯著著不同同)年發(fā)生生率((AnnualRateofOccurrence)對(duì)策成成本((CountermeasureCost)對(duì)策價(jià)價(jià)值((Benefit)Benefit=AV*EF1*ARO-AV*EF2*ARO-CC2022/12/2512McAfee安全風(fēng)風(fēng)險(xiǎn)模模型2022/12/2513McAfeeSRM安全風(fēng)風(fēng)險(xiǎn)管管理方方法論論P(yáng)rotectionandComplianceIntegration=KeyBenefits減少成成本,,降低低復(fù)雜雜度增加運(yùn)運(yùn)作效效率更快的的實(shí)現(xiàn)現(xiàn)防護(hù)護(hù)和法法規(guī)遵遵從+威脅保保護(hù)McAfeeFoundstoneMcAfeePolicyAuditorMcAfeeDLPMcAfeeNACMcAfeeIntruShieldMcAfeeTotalProtectionMcAfeeSecureInternetGateway風(fēng)險(xiǎn)&法規(guī)遵遵從性性SRMSolution集成McAfeePreventsys

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論